Skip to main content

Utpressningsattackerna är inte bortom kontroll, säkerhetsteamen är

Kombinationslås
(Foto: Future)

Baserat på senaste tidens nyhetsrubriker så kan man tro att det varit en stor ökning av antalet utpressningsattacker. Även om det kan finnas viss sanning i det, allra helst sett till antalet lyckade attacker, så pekar det framförallt på att IT-säkerhetsteam varit slappa i att åtgärda brister i deras infrastruktur.

Det är åtminstone åsikten från Optiv Security som hävdar att majoriteten av alla företag som ger efter för angripare är offer för sina egna misslyckanden. Företaget hävdar att merparten av de företag som hamnar i en "betala eller dö"-situation gör det på grund av kraftigt bristande cybersäkerhet som gör de utsatta för utpressningsattacker.

James Turgal, tidigare assisterande chef på FBIs Information- och Teknikavdelning, numera chef för bland annat cyberrisker på Optiv, har personligen hjälpt många företag att svara på och återhämta sig från utpressningsattacker. Vi talade med honom för att förstå den utveckling som sker inom utpressningsmjukvara och vilka åtgärder som företag behöver vidta för att skydda sig själva. 

Vilka är de vanligaste misstagen ni träffat på som kunde skyddat verksamheter från utpressningsattacker?

Alla verksamheter är annorlunda. Några äldre och mer etablerade organisationer har nätverk och infrastruktur som utvecklats över åren, utan att säkerhet varit en prioritet. Vissa har hoppat på ny teknik utan att korrekt konfiguration samt missat att avveckla äldre teknik på vägen.

Även startup-företag som börjat sitt liv i molnet kan fortfarande ha lokala servrar eller annan infrastruktur som behöver konstant omvårdnad och eftertanke.

Några av de vanligaste misstagen jag ser verksamheter göra är:

1. Ingen strategi för att hantera uppdateringar alternativt strategier som bekymrar sig mer över tillfälligt otillgängliga nätverk snarare än korrekt och säker informationshantering.

2. Ingen förståelse för vad som är normal trafik inom nätverket alternativt användning utav mjukvara som överlappar varandra alternativt är dåligt konfigurerade. Nätverksarkitekturen är nyckeln till verksamhetens IT-skydds vara eller inte vara.

3. Förlita sig för mycket på säkerhetskopior med en tro att en säkerhetskopia är nog skydd. Säkerhetskopior som inte skiljs från nätverket och utan regelbundna test av integriteten är ett dåligt skydd mot utpressningsattacker.

Vi hör ofta om företag som får sina säkerhetskopior krypterade av ransomware, eftersom de finns inom samma nätverk som den ursprungliga datan. Har du fler exempel på allvarliga misstag som du träffat på?

Jag har jobbat på ett antal utredningar i min FBI-karriär där verksamheter varit så fokuserade på att driva nästa digitala utvecklingsidé framåt att de helt missat att ta hand om sin nuvarande infrastruktur under tiden.

Ett exempel jag sett många gånger är företag som är så fokuserade på att flytta till molnbaserade tjänster att de helt försummat befintliga servrar och annan infrastruktur, hårdvara som fortfarande är i bruk och inkopplade utan nödvändiga säkerhetsuppdateringar.

Allt som krävs är en öppen port eller en missad säkerhetsuppdatering för att angripare ska dra nytta utav situationen.

Bortglömd hård- och mjukvara är en enorm riskfaktor och exakt vad många angripare letar efter när de kollar av ditt nätverk.

Optiv jobbar med hundratals stora organisationer för att ta fram sin strategi mot utpressningsattacker. Finns det några vanliga punkter som du kan rekommendera alla verksamheter att ta till sig av?

Absolut, nyckeln är förberedelser och det är värt mycket att undvika bli ett offer för utpressningsmjukvara.

Några av de bästa strategierna för att undvika att bli ett offer är inom följande områden:

1. Känn ditt nätverk och din infrastruktur tillräckligt väl eller, om du använder tredjepartstjänster för detta, se till att du kan få snabbast möjliga överblick över potentiella skador. Det är oerhört kritiskt att snabbt få förståelse för omfattningen, ha förmågan att göra en analys av orsaken, återfå kontroll över dina miljöer och avgöra om någon data blivit stulen.

2. Vetskap om var din data finns, allra helst den data ni anser vara allra viktigast. Är den tillräckligt segmenterad och ni har tillräckligt bra, verifierat funktionella säkerhetskopior så är det genast mycket lättare att avvärja en utpressningsattacker.

3. Se till att ni har en robust och genomarbetad manual för att hantera digitala incidenter, inklusive utpressningsattacker. Se till att öva, öva, öva på alla plan inom organisationen, ända upp till styrelsenivåer.

4. Säkerställ att du har möjlighet att snabbt tillkalla expertis från tredjepart vid behov, oavsett om det gäller externa rådgivare, tekniska utredare eller PR- och kommunikationsexperter.

Utöver att förstärka sin tekniska del, bör företag även investera i ytterligare utbildning av sin personal, med tanke på att merparten av alla utpressningsattacker möjliggörs av mänskliga beteenden?

Jag har alltid sagt att cybersäkerhet handlar mer om människorna bakom tangentbordet snarare än faktisk teknik. 

I takt med att tekniken utvecklas, allra helst inom artificiell intelligens, maskininlärning samt flytten till molnbaserade tjänster, så måste även kunskaperna utvecklas. Oavsett storlek så måste alla företag som tävlar om innovationstakten även tävla om kvalificerad personal till det.

Jag vill betona vikten av "kvalificerad" här, allra helst med tanke på att det inte bara råder brist på personer som kan göra jobbet, det är även allt större skillnader i kunskapsnivåer inom gruppen som är kvalificerade nog att förstå komplexiteten i moderna nätverk.

Stora glapp i kunskapsnivåerna kan dels hindra företagen i sin utveckling men än mer allvarliga kan följderna bli om du har en IT-chef eller IT-säkerhetschef som är dåligt rustade och pålästa, men ändå hävdar för överordnade att företaget och dess IT-system är säkra. 

Du har varit involverade i att förhandla med angripare bakom utpressningsattacker under en längre period. Hur har interaktionerna mellan parterna utvecklats över åren? Har du vetskap om några särskilda grupperingar som ägnar sig åt dubbelutpressning genom att hota med att även avslöja känslig data för konkurrerande verksamheter?

En sak jag tror många organisationer misstar sig kring är att dessa kriminella grupper är enskilda och isolerade sådana, att de tävlar mot varandra.

Tvärt om så delas av och till såväl data som uppgifter kring potentiella offer mellan olika grupper. När väl uppgifter stulits från ett företag och sedan publicerats eller sålts via forum på dark web så är det mycket vanligt att andra grupper eller individer använder sig av uppgifterna eller replikerar intrånget för att komma över ytterligare data från såväl det ursprungliga offret som andra.

Med tillkomsten av utpressningsmjukvara som tjänst och rena handelsplatser för skadliga mjukvaror på dark web, exempelvis Silk Road och AlphaBay, så är dubbelutpressning ett mycket verkligt hot, ett hot som inte enbart kommer från en enskild gruppering utan ibland även grupper som jobbar tillsammans med att tillhandahålla såväl skadlig mjukvara som botnätverk för att distribuera den.

På tal om dubbelutpressning, hur hanterar man det bäst? För även om ett företag kan återställa sin data från säkerhetskopior och återta kontrollen över sina nätverk, hur säkerställer man bäst att cyberkriminella inte avslöjar de stulna uppgifterna?

Hotet om dubbelutpressning är på riktigt som så, men med utpressningsattacker så har det alltid funnits ett hot om att de kriminella grupperingarna ska läcka uppgifterna de stulit, så det är inte ett direkt nytt hot.

Något som hör till det förgångna är möjligheten för offren av utpressningsattacker att antingen betala eller återställa sina data men utan att berätta om det hela. Skyldigheten att rapportera det inträffade innebär en större transparens för alla runt omkring.

Hur ser du på franska försäkringsbolaget AXAs tillkännagivande om att de inte längre kommer ersätta utbetalningar för utpressningsattacker? Är det enligt dig en effektiv strategi för att motverka den typer av attacker?

Jag är övertygad om att AXAs beslut grundades dels på deras syn på utmaningarna som finns inom cyberförsäkringsmarknaden, dels trycket från lagstiftning och rättsväsendet.

Det finns fall som jag jobbat med där cyberkriminella medvetet sökt av ett offers infrastruktur för att hitta information om huruvida offret varit försäkrat mot utpressningsattacker och annan cyberkriminalitet. Några grupper har rent av använt dessa uppgifter i sin utpressningsattack för att på så vis informera offret om att de lika väl kan betala, eftersom de är försäkrade mot det.

Ett argument för det är att försäkringar mot utpressningsattacker sporrar angripare, så att begränsa utbetalningar kan minska den ekonomiska vinsten och därmed minska värdet av en attack.

För min del tror jag dock att trenden och ett mer troligt svar kommer bli att minska utbetalningarna och framförallt, kräva försäkringstagaren att höja sin digitala mognadsnivå, utföra bättre och mer frekventa riskbedömningar samt att anpassa sig bättre utifrån nivån av hot. Detta vore enligt min åsikt ett bättre sätt att motverka utpressningsattacker än att helt enkelt stoppa utbetalningar.